持安科技何艺:基于可信验证的应用访问安全模型 | CCS2023演讲分享

近日,2023CCS成都网络安全大会在成都举办,大会由四川省互联网信息办公室指导,成都市互联网信息办公室、成都高新技术产业开发区管理委员会联合主办,无糖信息技术有限公司承办。

持安科技创始人兼CEO何艺受邀参与2023CCS大会金融安全论坛,并分享《应用安全新范式:基于可信验证的应用访问安全模型》。

持安科技创始人兼CEO何艺在创业之前曾是完美世界的安全负责人,完美世界游戏出海业务,在早期就遇到了来自国际上的APT组织,在多年跟黑产对抗的过程中,何艺逐渐发现了零信任最佳实践的安全与业务价值,并长期看好零信任未来的发展。2015年开始在完美世界内部实施零信任最佳实践,并全面落地,2021年创业并成立了持安科技,主要做零信任领域。

以下是本次演讲实录:

#01

传统应用安全面临哪些挑战?

根据verizon出具的报告统计, Web应用安全排名是第三位,并且在其他攻击事件,例如系统入侵中也会大量用到针对Web应用攻击事件,可以说Web应用程序安全风险,占了安全事件里面一个极大的比重。

为什么这么多年来,Web安全问题始终存在,甚至是很多安全事件产生的源头?

我们认为,是因为企业做Web安全对抗时,一直处于被动防守的状态。

在传统的防护体系中,攻击者只要能够在访问中接触到业务系统,就可以利用业务系统中的漏洞和脆弱性展开攻击。随着AI的发展,现在甚至不需要攻击者有漏洞挖掘能力,就可能通过暗网或者chatgpt展开攻击,攻击成本极低。

但防守成本却很高,只要业务系统能够被访问到,防守方就需要提前发现系统存在的漏洞。需要基于接收到的流量来检测是否有攻击行为,工作量巨大。但是也只能检测到已知的漏洞与风险,一旦有未知风险,防守方会很快的被攻破。

传统的基于边界防护模型加上纵深防护的安全防护理念,已经不能防御现阶段的攻击手法了。

边界防护比较常见的方法是隔离,但是随着数字化转型的推进,企业业务的开放度和敏捷度逐渐提高,企业越来越难以用隔离的方式来保证自身的数据安全。

纵深防护模型最常见的就是特征对抗,但是永远有新的未知漏洞出现,企业无法穷尽所有特征。而且当攻击事件被发现,需要做溯源的时候,安全日志只能看到IP,和访问者的身份不是强相关的,所以溯源的时间周期非常长。

那么当业务系统存在一个未知的漏洞,安全系统又无法通过特征检测到这些风险,攻击者又可以访问到你的系统,系统就面临着很大的风险。

#02

基于可信验证的应用访问安全模型

2015年我们在甲方,那时我们发现用已有的安全产品,很难防御国际上的大型APT攻击,我们于是多方调研,使用了Google BeyondCorp 模型,在内部建立了基于可信验证的安全体系。

安全的本质是什么?我们认为是信任。

比如发生攻击事件的时候,带有黑客访问方式的数据包是不可信的。

对于攻击者来讲,最必要的条件是什么?是访问。

不管是通过网络来攻击别人的业务系统,还是用本地提权的方式。所有的行为都是输入或者输出。如果我们能把输入控制好,安全性就会提高很多。

如果访问来自可信的人、设备,是否可以消除了大部分风险?

除了一个可信的人,某一天突然因为心情原因或者是其他原因,突然要做一些危害公司的事情之外,其余的风险都基本上可以被消除掉。

用户连上了SDP,他的电脑已经和公司的网络打通,这时攻击者钓鱼成功,控制了这个设备,以此为跳板,对内部的系统进行扫描。这个设备有什么权限,攻击者具有相同的网络访问权限,黑客就可以进一步探测系统内的漏洞。就可以进行攻击了。

现在很多攻击者使用无痕码、免杀码,不显示IP和域名,防守方很难防护。

为什么我们已经有了SDP和VPN,还是防不住呢?

因为VPN和SDP控制的是网络通道,在TCP\IP的协议栈中,应用层可以看到网络层的所有数据,但是网络层看不到上层的数据,网络层管控能控制访问通道IP端口,但是无法判断IP和端口传输的数据是否安全。无法判断这到底是越权行为,还是正常访问。做流量分析或者特征检测,就回到传统安全的思路了。

把业务系统发布到零信任平台上接管访问请求,攻击者发起钓鱼,等员工上线然后做扫描。此时所有的信息都会被网关拦截,也会被审计检测到。因此即便攻击者有了网络访问的权限,但是发起请求的内容会被发送到应用层做解析。应用层会基于业务来做可信验证。如果可信验证没有通过,网关就会拦截这次访问,就算后面的业务系统有漏洞,也无法攻击者利用。

如果是更高级别对抗盗取身份凭据呢?

我们不关注访问是来自于企业内部、互联网或者VPN。收到的访问请求会先被发送到应用层网关,网关默认先把请求拦截住,把请求给到决策引擎。决策引擎首先通过多因素认证来判定访问者的业务系统身份,身份验证之后,决策引擎基于身份,判定这个访问的权限、设备、行为等上下文内容是否可信。只有以上多个因素都被判定可信后,访问请求才会通过。

而访问者发起的下一个请求后,还会重复以上的验证过程,不是只做一次验证。

可信验证机制改变了传统安全。

传统安全理念是先访问再验证,比如用户登录OA,会先接触到OA系统,再去做登录认证,或者从OA系统转到IAM再做认证。但是此时攻击者可以访问到OA,就可以展开攻击。

接入零信任系统之后,只有正常的员工可以通过,其他包括内鬼和非受信用户的访问都会被过滤掉,有行动权限的访问请求才能通过。如果这个员工没有这个系统的访问权限,他就看不到应用系统的页面,所以对于内鬼,这套系统也可以解决一定的越权访问风险。

信任链的第一步是确认业务身份,然后基于身份构建与其相关的设备、网络、应用、环境的信任链,信任链中任何一个环节不可信,整个访问就会被驳回.

零信任系统会持续验证访问者的每一次访问动作,并且基于其可信的程度做不同的处置。比如所有条件都合理即验证通过;中间出现了一些不确定因素,则需要加强验证或者说直接拒绝本次访问。

零信任带来的价值收益

1. 主动防御

防守方由被动防护转为了主动防护。系统接收到的所有访问请求默认被拒绝,只有经过了严格的可信验证的访问才能通过。意味着是攻击者需要去想办法来破解可信验证的机制。而不是防守方去发现漏洞和提高响应速度,有效提高ROI。

2. 未知威胁防护

基于零信任的“先验证,再访问”模型,只有经零信任验证可信的数据包才可以接触到业务系统,未知人员无法接触到业务系统,能够有效防范未知人员发起的未知攻击。

3. 人员安全可见性

所有的人员访问信息都需要经过零信任平台,数据的可见性非常高,可以精确地了解每个人正在进行的活动。通过实时监控和分析,可以构建一个安全上下文,从而提高整体的安全性。

4. 安全赋能业务

业务部门不再对安全有担忧。不需要业务给安全预留上线和测试的时间。不需要投入开发成本。

综合来讲,基于应用可信访问与SDP主要存在以下区别。

#03

基于可信验证最佳实践

持安零信任方案基于Google beyond crop架构逻辑、控制力度,站在甲方的视角解决企业安全问题。

数据安全风险主要来自于数据的获取与流转过程中。但是目前数据安全产品主要集中在数据库审计,流量分析,终端DLP等,而什么人该获取什么数据,他什么时候获取的,已经获取了什么数据做的人很少。

持安可信访问系统框架除了安全防护的能力,把数据安全跟应用层零信任关联到了一起。所有请求和返回的内容,都与业务身份、权限关联,基于可信验证的逻辑来知道什么人,通过什么接口,访问过什么应用,并综合评估用户对这些数据的访问权限与访问条件。

在某科技头部企业的落地案例中,持安帮助企业做到10万级用户不区分内外网安全访问1万+应用接入,每周数百个应用快速发布,且自动隔离风险,防护未知攻击,经历实战攻防演练的验证。

方案可以广泛应用于应用安全防护、移动办公安全访问、内网应用安全访问、数据安全管控、实网攻防等场景。

持安科技团队自2015年开始在甲方落地、实施零信任理念,至今已有八年时间,产品经受住了多应用、长时间、高并发的考验,覆盖头部科技、互联网、金融,传统企业客户,单体用户规模过20万+、单体用户应用接入规模1万+、总用户数近百万。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/74058.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【继RNN之后的一项技术】Transfomer 学习笔记

谷歌团队在17年的神作,论文17年6月发布 https://arxiv.org/abs/1706.03762 被NIPS2017收录,目前引用量已经逼近3w。 以下内容参考李沐老师的课程《动⼿学深度学习(Pytorch版)》 简介 注意力 自主性:有目的的搜索某样东西(键&…

Xilinx FPGA 超温关机保护

在UG480文档,有关于FPGA芯片热管理的介绍。 首先需要理解XADC中的 Over Temperature(OT)和User Temperature的关系。片上温度测量用于关键温度警告,也支持自动关机,以防止设备被永久损坏。片上温度测量在预配置和自动关…

C++:类和对象(三)

本文主要介绍初始化列表、static成员、友元、内部类、匿名对象、拷贝对象时编译器的优化。 目录 一、再谈构造函数 1.构造函数体赋值 2.初始化列表 3.explicit关键字 二、static成员 1.概念 2.特性 三、友元 1.友元函数 2.友元类 四、内部类 五、匿名对象 六、拷…

android上架备案公钥和md5获取工具

最近很多公司上架遇到了一个问题,就是要提供app的备案证明,现在android上架都需要备案了,但是我们的证书都是通过工具生成的,哪里知道公钥和md5那些东西呢?无论安卓备案还是ios备案都需要提供公钥和md5。 包括ios的备案…

上海控安携汽车网络安全新研产品出席AUTOSEMO“恒以致远,共创共赢”主题研讨会

8月31日,AUTOSEMO“恒以致远,共创共赢”主题研讨会在天津成功召开。本次大会由中国汽车工业协会软件分会中国汽车基础软件生态标委会(简称:AUTOSEMO)与天津市西青区人民政府联合主办。现场汇聚了100余位来自产学研政企…

前端如何将后台数组进行等分切割

前端如何切割数组 目标:前端需要做轮播,一屏展示12个,后端返回的数组需要进行切割,将数据以12为一组进行分割 环境:vue3tselement plus 代码如下: function divideArrayIntoEqualParts(array, chunkSiz…

lv3 嵌入式开发-4 linux shell命令(文件搜索、文件处理、压缩)

目录 1 查看文件相关命令 1.1 常用命令 1.2 硬链接和软链接 2 文件搜索相关命令 2.1 查找文件命令 2.2 查找文件内容命令 2.3 其他相关命令 3 文件处理相关命令 3.1 cut 3.2 sed 过滤 3.3 awk 匹配 4 解压缩相关命令 4.1 解压缩文件的意义 4.2 解压缩相关命令 1 …

智慧公厕破解公共厕所管理的“孤岛现象”

在现代社会中,公共厕所是城市管理中的一项重要任务。然而,经常会出现公厕管理的“孤岛现象”,即每个公厕都是独立运作,缺乏统一的管理和监控机制。针对这一问题,智慧公厕的出现为解决公共厕所管理难题带来了新的方案。…

【Unity3D】UI Toolkit样式选择器

1 前言 UI Toolkit简介 中介绍了样式属性,UI Toolkit容器 和 UI Toolkit元素 中介绍了容器和元素,本文将介绍样式选择器(Selector),主要包含样式类选择器(Class Selector)、C# 类选择器&#xf…

C++ 结构体

前文 C中的结构体是一种非常有用的数据类型,它允许我们将不同的变量组合在一起,形成一个自定义的数据结构。 结构体在C中的应用非常广泛,它可以用来表示和管理各种实体、对象或数据的属性。比如,在一个学生管理系统中&#xff0c…

阿里云和腾讯云2核2G服务器价格和性能对比

2核2G云服务器可以选择阿里云服务器或腾讯云服务器,腾讯云轻量2核2G3M带宽服务器95元一年,阿里云轻量2核2G3M带宽优惠价108元一年,不只是轻量应用服务器,阿里云还可以选择ECS云服务器u1,腾讯云也可以选择CVM标准型S5云…

实现在一张图片中寻找另一张图片的目标

OpenCV库中的SIFT特征检测算法和FLANN(快速最近邻搜索库)匹配算法来找到一个图片中的元素在另一个图片中的位置,并在源图片中标出它们的位置。 以下是一个简单的例子,使用OpenCV库,利用SIFT特征检测算法,在…

《向量数据库》——向量数据库Milvus 和大模型出联名款AI原生Milvus Cloud

大模型技术的发展正加速对千行百业的改革和重塑,向量数据库作为大模型的海量记忆体、云计算作为大模型的大算力平台,是大模型走向行业的基石。而电商行业因其高度的数字化程度,成为打磨大模型的绝佳“战场”。 在此背景下,Zilliz 联合亚马逊云科技举办的【向量数据库 X 云计…

云服务器下如何部署Django项目详细操作步骤

前期本人完成了“编写你的第一个 Django 应用程序”,有了一个简单的项目代码,在本地window系统自测没问题了,接下来就想办法部署到服务器上,可以通过公网访问我们的Django项目。将开发机器上运行的开发版软件实际安装到服务器上进…

鼠标知识系列之星闪鼠标

随着 2023.8.4 华为 HDC 大会的落幕,一个新的名词开始进入了人们的视线:星闪 NaerLink,随着星闪技术引入键鼠圈子的还有一个名词:星闪鼠标。 正如我们之前鼠标知识分享系列提到过的,目前市面上的鼠标主要是有线鼠标和…

烟感报警器单片机方案开发,解决方案

烟感报警器也叫做烟雾报警器。烟感报警器适用于火灾发生时有大量烟雾,而正常情况下无烟的场所。例如写字楼、医院、学校、博物馆等场所。烟感报警器一般安装于所需要保护或探测区域的天花板上,因火灾中烟雾比空气轻,更容易向上飘散&#xff0…

在FPGA上快速搭建以太网

在本文中,我们将介绍如何在FPGA上快速搭建以太网 (LWIP )。为此,我们将使用 MicroBlaze 作为主 CPU 运行其应用程序。 LWIP 是使用裸机设计以太网的良好起点,在此基础上我们可以轻松调整软件应用程序以提供更详细的应用…

【MySQL基础】一条查询和更新语句的执行流程01-02

目录 MySQL的基本架构示意图连接器查询缓存分析器优化器执行器重要的日志模块:redo log重要的日志模块:binlog更新时redo log 和 binlog 两阶段提交 例如在执行下面这个查询语句: mysql> select * from T where ID10;MySQL的基…

Apache Hive之数据查询

文章目录 版权声明数据查询环境准备基本查询准备数据select基础查询分组、聚合JOINRLIKE正则匹配UNION联合Sampling采用Virtual Columns虚拟列 版权声明 本博客的内容基于我个人学习黑马程序员课程的学习笔记整理而成。我特此声明,所有版权属于黑马程序员或相关权利…

GPT引领前沿热点、AI绘图

GPT对于每个科研人员已经成为不可或缺的辅助工具,不同的研究领域和项目具有不同的需求。如在科研编程、绘图领域: 1、编程建议和示例代码: 无论你使用的编程语言是Python、R、MATLAB还是其他语言,都可以为你提供相关的代码示例。 2、数据可…